aws re:invent security recap aws sso

WHITE #FFFFFFOXYGEN #FAFAFAMAGNESIUM(Light BG)#F2F4F4CHROMIUM #EAEDEDZINC #D5DBDB SILVER #AAB7B8PLATINUM #879196 MERCURY #545B64

COPPER #EC7211 BROMINE #EB5F07 ARGON #00A1C9 COBALT #007DBC FLUORINE #6AAF35PHOSPHORUS

#1E8900 HELIUM #FF5746NEON #DF3312

WHITE #FFFFFFSQUID INK #232F3E Text (original) #474747REAL BLACK #000000

AMAZON ORANGE #FF9900

アマゾンウェブサービスジャパン株式会社

西日本担当ソリューションアーキテクト　辻義一

AWS Single Sign-On (SSO)

2017.12.7 General Availabilityバージニア北部リージョンで提供開始






自己紹介

辻辻義一義一（つじ（つじよしかず）よしかず）

西日本担当西日本担当ソリューションアーキテクトソリューションアーキテクト

簡単な経歴簡単な経歴

•• 大阪生まれの大阪育ち。大阪生まれの大阪育ち。

•• 独立系独立系SIerSIerでインフラエンジニア。でインフラエンジニア。

AWSAWSのすきな所のすきな所

〜〜安い、早い、おもしろい安い、早い、おもしろい〜〜






何が求められているか？

AWS リソース

権限コスト

を明確に分離したいプロジェクト単位

本番環境開発環境

エンドユーザ企業単位

IAMユーザとIAMポリシー

リソースタグ

AAAA PJ-ABBBB PJ-BCCCC PJ-A

使用状況レポートとタグ付け

要件によっては分離しきれない

方法１







AWS リソースを別々の AWS アカウントに分離

アカウントを越えて・データコピー・ネットワーク接続・一括請求も可能

ログインの手間権限管理の分散

権限コスト

を明確に分離したいプロジェクト単位

本番環境開発環境

エンドユーザ企業単位

方法２







複数の AWS アカウントに

シングルサインオンしたいビジネスアプリケーショへの

シングルサインオンをユーザに提供したい






そのためにどんな課題があるか？

既存の SSO ソリューションは AWS との連携が十分ではない

従来の SSO ソフトウェアは複雑で高価、専門知識が必要






AWS Single Sign-On (SSO)

AWS アカウントとビジネスアプリケーションへのシングルサインオン (SSO) を提供するクラウドサービス

複数 AWS アカウントのコ

ンソールにSSO アクセス

簡単に利用を始めれる

既存の社内 ID 基盤（Active Directory）

を活用する

ビジネスアプリケーションに

SSO アクセス






価格と提供リージョン

AWS SSO は追加料金なしで利用可　AWS SSO の利用には AWS Directory Service との連携が必須。　Microsoft ADは$106.9〜/月、AD Connectorは$58.56-175.68/月。

2017/12/7 に General Availability現時点ではバージニア北部リージョン(us-east-1) のみで提供

• AWS Directory Service も同一リージョンで設定が必要

AWS Organization のすべての機能を有効化が必要（全ての子アカウントで有効化の承認が必要）






対応内容

ユーザレポジトリ

Active Directory• AWS Directory Service の Microsoft AD あるいは AD Connector で連携

2要素認証 Directory Service に設定された RADIUS によるワンタイムパスワード

ログイン先

AWS Organizations の組織に内にあるAWS アカウントのマネージメントコンソール

SAML 2.0 対応アプリケーション

AWS SSO を利用する






ユーザポータルにログイン

社内で使用しているのと同じユーザ名とパスワードを入力






利用できるアプリケーション一覧

管理者が登録、許可したアプリケーションのみ表示






複数のAWSアカウント






複数のパーミッションセット

同じAWSアカウントでも複数のパーミッションセットが選べる

AWS SSO を設定する① AWSアカウントへのアクセス






AWSアカウントと権限指定

マスターAWSアカウント

AWS OrganizationsAWS Single Sign-OnAWS Directory Service

ActiveDirectory

設定ディレクトリ接続

オンプレミス

メンバーアカウント #1 メンバーアカウント #N

フル機能を有効にしたAWS Organizations を通じて組織内のAWSアカウントを指定

IAMポリシーと同じ文法とツールで

パーミッションセットを定義

定義とポリシーがメンバーアカウントに自動的に設定される

1

1

2

3 3

2

3

IAMロール＆IAMポリシー

IAMロール＆IAMポリシー






Active Directory 上のユーザを指定

マスターAWSアカウント

AWS OrganizationsAWS Single Sign-OnAWS Directory Service

ActiveDirectory

設定ディレクトリ接続

ユーザ＆グループ

オンプレミス

メンバーアカウント #1 メンバーアカウント #N

AD 上のユーザやグループに

パーミッションセットを割り当て4

4






ログインフロー

マスターアカウント

AWS Single Sign-On

AWS SSO ユーザポータル

ActiveDirectory

ユーザ

パーミッションセット

オンプレミス

メンバーアカウント

AWS SSO ユーザポータル

をブラウザで開く

AWS SSO はパーミッションセット

に基いて許可されたアプリを表示

ユーザはメンバーアカウント内のIAM ロールとしてSSOログイン

リソースへのアクセスはAWS Organizations の SCP やIAM ポリシーで管理される

CloudTrail で監視や監査

AWS Directory Service

1

1

2 3

4

社内の認証情報を使ってログイン2

5

AWS ClodTrail

3

4

5

グループ






特徴

AWSアカウントへのSSOアクセス• AWS Organizations を使って、特定のAWSアカウントや組織ユニット内の全アカウントへのアクセスを指定

• 一般的な仕事の役割に基いてパーミッションを割り当て

• 個別のセキュリティ要件に適するようにパーミッションのカスタマイズも可能

• １人に複数のAWSアカウントの複数のパーミッションを割り当て可能

AWS SSO を設定する② SAML対応アプリへのアクセス






アプリを登録

マスターカウント

AWS Single Sign-OnAWS Directory Service

ユーザ＆グループ Active

Directory

ディレクトリ接続アプリ

オンプレミス

AD 上のユーザやグループに

を割り当て

2 221

2

事前定義されているビジネスアプリあるいはカスタムアプリケーションを選択して登録

アプリケーションのメタデータを登録

13設定

3






特徴

SAML対応しているアプリケーションへのSSOアクセス

• SAMLが利用可能なビジネスアプリケーションへのSSOアクセスを設定

• 多くの主要なSaaSへの事前定義設定あり

• その他のSaaSや独自アプリケーションも登録可能

関連する AWS サービスについて






関連するその他のサービス・機能

AWS DirectoryService

AmazonCognitoUser Pool/

Federated Identity

モバイルアプリやSingle Page Application (SPA) 向けの認証機能

SAMLでアプリにSSOログインできるように連携

既存 Active Directory との連携、マネージドのActive Directory の実現

ADユーザにマネージメントコンソールへのログインを実現

AWS Identity and Access Manager

(IAM)

SAML での SSO ログインを受け付けてマネージメントコンソールへのログインや

一時クレデンシャルの提供






Active DirectoryとAWS Directory Serviceの連携方法

Option 1: Microsoft ADでオンプレミスのADと信頼関係を結ぶ

Option 3: AWS Microsoft ADをスタンドアロンで利用する

Option 2: AD ConnectorでオンプレミスのADと接続する

ActiveDirectory

Directory ServiceMicrosoft AD

LDAP,Kerberos,Referrals

信頼関係


ActiveDirectory

Directory ServiceAD Connectorサービス

アカウント

LDAP &Kerberosユーザ＆

グループ








Internet

現時点で日本からバージニア北部リージョンでDirectory Serviceを使う方法

Option 1: VPC のインターネットVPNあるいはDirect Connet Gateway でバージニア北部リージョンと接続

Option 2: EC2上のインターネットVPNサーバでリージョン間を接続する

ActiveDirectory


ActiveDirectory

サービスアカウント


Directory ServiceAD Connector

Directory ServiceAD Connector


VPNServer

VPNServer

バージニア北部

東京

バージニア北部

東京

まとめ






AWS SSOはActive Directory上のユーザに対してSSOを提供。• 同一Oragnizations内のAWSアカウントのマネージメントコンソール

• SAML対応しているSaaSアプリケーション

SSO はセキュリティ向上と利便性向上の両方を実現でき、あらゆる企業におすすめ。

aws re:invent security recap aws sso

Technology